Hakerzy zaczęli wykorzystywać nowo ujawnioną lukę w zabezpieczeniach zapór ogniowych GFI KerioControl, która, jeśli zostanie skutecznie wykorzystana, może umożliwić atakującym zdalne wykonanie kodu (RCE). Jest to poważne zagrożenie dla użytkowników tych urządzeń, szczególnie jeśli zapory nie zostały odpowiednio zaktualizowane.
Problem stanowi luka oznaczona jako CVE-2024-52875. Dotyczy ona ataku iniekcji CRLF (blank”>Carriage Return Line Feed), który umożliwia dzielenie odpowiedzi HTTP (HTTP Response Splitting). W efekcie prowadzi to do luki typu cross-site scripting (XSS), co może narazić użytkowników na nieautoryzowany dostęp do ich systemów.
Eksploatacja tej luki polega na wstrzykiwaniu złośliwych danych wejściowych do nagłówków odpowiedzi HTTP poprzez dodanie znaków powrotu karetki (r) i nowej linii (n). Wykorzystując jednorazowy klik (1-click RCE), atakujący są w stanie przejąć kontrolę nad kluczowymi funkcjami zapory oraz manipulować ruchem sieciowym, co czyni tę lukę wyjątkowo niebezpieczną.
Luka dotyczy wersji KerioControl od 9.2.5 do 9.4.5, co zostało potwierdzone przez badacza bezpieczeństwa Egidio Romano. To właśnie on odkrył i zgłosił problem już na początku listopada 2024 roku. Główne ścieżki URI dotknięte podatnością to:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
Według Romano, w tych ścieżkach dane przekazywane w parametrze „dest” (metoda GET) nie są odpowiednio weryfikowane, zanim zostaną użyte do tworzenia nagłówków „Location” w odpowiedzi HTTP na kodzie 302. Aplikacja nie filtruje poprawnie znaków nowej linii (LF), co umożliwia przeprowadzanie ataków HTTP Response Splitting. W konsekwencji może to prowadzić do ataków refleksyjnego XSS i innych działań niepożądanych.
GFI wydało poprawkę dla tej luki 19 grudnia 2024 roku w ramach wersji 9.4.5 Patch 1. Dostępny jest już także proof-of-concept (PoC), który demonstruje jak skutecznie wykorzystać podatność. Atakujący mogą skonstruować złośliwy odnośnik, który po kliknięciu przez administratora uruchamia PoC na kontrolowanym przez napastnika serwerze. Powoduje to przesłanie zainfekowanego pliku .img za pomocą funkcji aktualizacji firmware, co w rezultacie otwiera dostęp do roota zapory ogniowej.
Według danych firmy badawczej GreyNoise, próby wykorzystania luki CVE-2024-52875 rozpoczęły się już 28 grudnia 2024 roku. Odkryto, że ataki pochodzą z siedmiu unikalnych adresów IP zlokalizowanych w Singapurze i Hongkongu. Ich celem są najczęściej niechronione serwery, gdzie brak aktualizacji stanowi główną lukę bezpieczeństwa.
Analiza przeprowadzona przez Censys wykazuje, że obecnie istnieje ponad 23 800 systemów GFI KerioControl widocznych w sieci globalnej. Najwięcej z nich zlokalizowanych jest w takich krajach jak Iran, Uzbekistan, Włochy, Niemcy, Stany Zjednoczone, Czechy, Białoruś, Ukraina, Rosja i Brazylia. Administrujący tymi urządzeniami powinni jak najszybciej zastosować najnowszą poprawkę, aby uniknąć potencjalnych zagrożeń.
Choć dokładne metody przeprowadzania ataków są wciąż badane, już teraz zaleca się użytkownikom KerioControl podjęcie działań w celu zabezpieczenia systemów. Konsekwencje opóźniania wdrożenia poprawek mogą być bardzo poważne, włączając w to potencjalną utratę danych lub dostęp do sieci korporacyjnych przez niepowołane osoby.
